La Regulación General de Protección de Datos o GDPR (por sus siglas en inglés) es una nueva normativa europea sobre protección de datos personales que incorpora nuevas obligaciones para las empresas. La GDPR legisla el ámbito regulado hasta ahora por la Ley Orgánica de Protección de Datos de España (LOPD), vigente desde el año 2000.
Aunque la GDPR fue aprobada en 2016, no entrará en vigor hasta el 25 de mayo de 2018. A partir de ese momento, será de obligado cumplimiento en todos los países de la Unión Europea y su vulneración conllevará importantes sanciones. Estas van desde los 10 millones de euros o el 2% de facturación para una falta leve a los 20 millones de euros o el 4% de facturación para faltas graves.
[bctt tweet=”Las sanciones van de 10 millones€ o el 2% de facturación a 20 millones€ o el 4% de facturación.” username=”ProdwareES”]
Además de su ámbito de cumplimiento, la GDPR se diferencia de la LOPD en que es más estricta en lo referente al consentimiento. Limita la transferencia de datos fuera de la UE, obliga a notificar accesos indebidos a los datos e incorpora los derechos de supresión, olvido y portabilidad de datos.
Durante los próximos meses las empresas deberán implementar los cambios necesarios para adaptarse a todos estos cambios si no quieren exponerse a las sanciones administrativas. Te explicamos algunos de los conceptos básicos para conocer las principales responsabilidades de las empresas y cómo afrontarlas:
Diccionario para entender el GDPR
Datos personales:
Es toda la información sobre una persona física identificada o identificable.
Consentimiento:
La persona debe otorgarlo de forma expresa, libre, inequívoca e informada. Por su parte, la empresa ha de solicitarlo de manera clara y diferenciada de otras condiciones e indicar todos los tratamientos que va a realizar con ellos. Además, tiene que ser fácil de retirar y los menores de 16 años necesitan autorización de un adulto.
Principio de responsabilidad proactiva:
Requiere que las organizaciones analicen qué datos tratan, con qué finalidades lo hacen y qué tipo de operaciones de tratamiento llevan a cabo. Se debe mantener un registro (interno) de todos los datos y el tratamiento que se realiza sobre los mismos. Los organismos supervisores pueden solicitar a un responsable de datos, en cualquier momento, que demuestre que está cumpliendo la normativa. Sustituye la declaración constante de ficheros de datos a las administraciones.
Enfoque de riesgo:
Ya no basta con que los procedimientos cumplan la ley, además debemos ser conscientes de los riesgos externos. Nuestros sistemas deben estar preparados para garantizar la seguridad de los datos que tratamos. Si se produce un acceso indebido (un hackeo, una filtración, una transmisión por error) se debe informar al organismo supervisor antes de 72 horas.
Delegado de Protección de Datos:
La GDPR introduce la figura del Delegado de Protección de Datos (Data Protection Officer), que debe nombrarse en todos los organismos públicos y en aquellas organizaciones que traten datos a gran escala o especialmente sensibles. Puede ser interno o externo y necesitará conocimientos legales e informáticos para poder asesorar y supervisar el tratamiento de datos y cooperar con la autoridad de control.
Adaptarse a GDPR supondrá un esfuerzo considerable para las empresas y, por eso, conviene empezar cuanto antes. Pero también supone una buena oportunidad para avanzar en la transformación digital, mejorar los procesos de tratamiento de datos e incrementar la agilidad y eficiencia de la organización.
Si quieres profundizar, en el webinar “Llega GDPR: ¿está tu empresa preparada para la nueva ley de datos personales?” nuestro experto analiza las diferentes opciones para afrontar los cambios imprescindibles del GDPR y da las claves para convertir este desafío en una oportunidad de crecimiento.